Strategieklausur der Datenschutzkonferenz in Speyer

Sorge über Vernachlässigung des Datenschutzes durch EU

Die Datenschutzaufsichtsbehörden sind einhellig der Auffassung, dass es ihre Aufgabe ist, Behörden und Unternehmen, die KI einsetzen, mit ihrer Expertise für den Schutz personenbezogener Daten eng und praxisorientiert zu begleiten. Dies beginnt bereits mit dem Training von generativen KI-Modellen, die ganz offensichtlich das Kernelement der meisten in der Praxis eingesetzten KI-Systeme bilden werden. Wer ihre Funktionsbedingungen rechtlich und technisch genauer analysiert, wird feststellen, dass schon hier in den allermeisten Fällen eine Verarbeitung personenbezogene Daten nicht auszuschließen ist. Daran schließen sich eine Vielzahl datenschutzrechtlicher Fragen an, wie der aktuelle Fall eines baden-württembergischen Journalisten vor Augen führt, der in den Ergebnissen eines gängigen KI-Produkts vom Berichterstatter zum Täter verschiedener kriminelle Handlungen gemacht wird und um den Schutz seiner Persönlichkeitsrechte kämpfen muss.

Die Datenschutzaufsichtsbehörden waren sich in Speyer einig in der Sorge, dass die bisherigen Ankündigungen der digitalpolitischen Schwerpunkte für die jetzt beginnende europäische Legislaturperiode den Datenschutz vernachlässigen. Tatsächlich ergeben sich aus der Nutzung von Künstlicher Intelligenz grundlegende Veränderungen der Durchsetzungsbedingungen für die Rechte und Freiheiten der Bürgerinnen und Bürger. Für ein kohärentes europäisches Daten-, Digital- und KI-Recht bedarf es einer sorgfältigen Analyse und Diskussion über passgenau spezifische datenschutzrechtliche Anforderungen, die beim Ringen um die KI-Verordnung ausgeblendet wurden. Auch um die notwendige Analyse des rechtspolitischen Handlungsbedarfs zu unterstützen werden die Datenschutzaufsichtsbehörden bis Jahresende die Weichenstellungen für die Anpassung ihrer Arbeits- und Abstimmungsprozesse etwa durch einen neuen Arbeitskreis für Fragen Künstlicher Intelligenz einleiten. Der Arbeitskreis wird die erfolgreiche Arbeit der bestehenden Task Force verstetigen. Auf europäischer Ebene gilt es, für ähnliche Strukturanpassungen zu werben. Ziel bleibt es, weiterhin gemeinsam und rasch auf neue Herausforderungen zu reagieren und Handlungsempfehlungen für die datenschutzgerechte Nutzung neuer Technologien bereitzustellen.

Neben Fragestellungen zur Nutzung Künstlicher Intelligenz beschäftigten sich die Datenschutzaufsichtsbehörden in ihrer Strategieklausur mit aktuellen Entwicklungen in der Rechtsprechung des Europäischen Gerichtshofs, insbesondere der Grenzziehung zwischen der Verarbeitung anonymer und personenbezogener Daten. Außerdem wurde über biometrische Gesichtserkennung im Zusammenhang mit repressiver Videoüberwachung durch die Sicherheitsbehörden diskutiert sowie ersten Erfahrungen bei der Modernisierung der Krankenhausgesetze der Länder zur Verbesserung der Rahmenbedingungen für die Nutzung medizinischer Daten zu Forschungszwecken ausgetauscht.

Dieser Text ist ursprünglich als Pressemitteilung der Datenschutzkonferenz erschienen.

Über die Datenschutzkonferenz: Die Datenschutzkonferenz besteht aus den unabhängigen Datenschutzbehörden des Bundes und der Länder. Sie hat die Aufgabe, die Datenschutzgrundrechte zu wahren und zu schützen, eine einheitliche Anwendung des europäischen und nationalen Datenschutzrechts zu erreichen und gemeinsam für seine Fortentwicklung einzutreten. Dies geschieht namentlich durch Entschließungen, Beschlüsse, Orientierungshilfen, Standardisierungen, Stellungnahmen, Pressemitteilungen und Festlegungen.